大家好,又见面了,我是你们的朋友全栈君。 攻击者通过Redis未授权访问,写入定时任务,执行挖矿程序。...发现攻击者使用的脚本http://104.156.239.160:8080/conn.sh 脚本内容如下: #!...tmp/conn /tmp/conn: PNG image data, 256 x 256, 8-bit/color RGBA, non-interlaced 首先下载了一个图片,然后通过dd提取出来挖矿程序...[root@server120 tmp]# file /tmp/conns /tmp/conns: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux...这种通过Redis未授权拿服务器挖矿的情况很常见。 处理过程 1)redis增加认证,清空/var/spool/cron/root和authorized_keys。
大家好,又见面了,我是你们的朋友全栈君。...文章目录 中毒特征磁盘cpu 跑满 100% 如何处理 反复发作 中毒特征磁盘cpu 跑满 100% 如何处理 电脑中了挖矿病毒 ps -aux | grep kinsing root 19447
大家好,又见面了,我是你们的朋友全栈君。 记一次挖矿程序入侵以及解决实操! 1,过程记录 系统被挖矿程序入侵,导致系统CPU飙升。kill掉进程后自动重启。...使用crontab -e查看当前系统的定时任务信息,如下: 显示定时从链接中下载文件,于是在浏览器中访问该地址,下载的文件截图如下: 很明显,这是一个恶意脚本,定时检查下载,并杀掉系统其它部分进程。...并且定时任务文件显示的内容和redis有关,立马联想到前端时间刚安装的redis,存在的安全漏洞问题!(之前安装redis都是在局域网中,现在使用云服务器把密码设置给忘了。。。)...修复 redis 的后门, 1. 配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379. 2....打开 ~/.ssh/authorized_keys, 删除你不认识的账号 3. 查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉.
大家好,又见面了,我是你们的朋友全栈君。...1.找出cpu高的程序,top找不到的话,用下面命令 ps -aux --sort=-pcpu|head -10 2.杀掉相关进程 kill -9 pid 3.查看crontab是否有定时任务 4.删除相关命令
大家好,又见面了,我是你们的朋友全栈君。 Linux清理挖矿程序@bug Linux清理挖矿程序 最近服务器经常被挖矿,一些经验 1....找到挖矿程序 挖矿程序跑起来几乎占满了所有的CPU,以及GPU,用watch -n1 nvidia-smi可以实时看到挖矿程序的PID号,此时不能用kill -9 PID号来进行清除,会发现它换一个PID...使用top可以看到挖矿程序进程名字xxx(command一行),ps aux|grep xxx 或者ls -l /proc/{PID号}/exe 找到病毒程序的路径位置 2....删除病毒的定时程序 1.低级版的病毒,crontab -l 可以看到病毒程序的定时任务,crontab -e编辑删除 2.高级点的病毒,crontab -l查看不到病毒程序的定时任务,因此cat /etc
大家好,又见面了,我是你们的朋友全栈君。 Linux被kdevtmpfsi挖矿病毒入侵 一....错误信息 二.解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux下的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4.删除掉kdevtmpfsi的相关文件 三.怎么预防处理这个病毒...1.首先停掉kdevtmpfsi的程序 ps aux 找到kdevtmpfsi的进程 删除掉与kdevtmpfsi相关的进程 kill -9 20267 kill -9 20367 2.删除Linux...-name kdevtmpfsi find / -name kinsing 三.怎么预防处理这个病毒 最根本的原因是自己的redis 6379配置不当导致的。...大家可以参考阿里云的Redis服务安全加固 阿里Redis服务安全加固 您的点赞,是我更新的动力!
0x00 前言 随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。...新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web攻击多种漏洞(如Tomcat弱口令攻击、Weblogic WLS...组件漏洞、Jboss反序列化漏洞、Struts2远程命令执行等),导致大量服务器被感染挖矿程序的现象 。...到这里,我们可以发现攻击者下载logo.jpg并执行了里面了shell脚本,那这个脚本是如何启动的呢?...D、漏洞修复 升级struts到最新版本 0x03 防范措施 针对服务器被感染挖矿程序的现象,总结了几种预防措施: 1、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护 2、及时更新 Windows
需要借助其他的工具。 安装busybox 系统有故障,登录后如果发现用正常的命令找不到问题,那么极有可能该命令被篡改。...BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。...> busybox top image-20210629223207356 终于看到了这个kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd...清理门罗币挖矿木马 常规方式先试试 > kill -9 6282 过一会又起来了,说明有守护进程 检查系统中的定时任务 > crontab -l 0 * * * * /tmp/sXsdc 发现一个这...20210629225502368 清理病毒 删除/tmp/.dHyUxCd/目录 kill -9 挖矿进程pid reboot重启 总结 本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是
BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。...> busybox top [image-20210629223207356] 终于看到了这个kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd...清理门罗币挖矿木马 常规方式先试试kill -9 6282 过一会又起来了,说明有守护进程 检查系统中的定时任务 > crontab -l 0 * * * * /tmp/sXsdc 发现一个这,一看就不是什么好东西...20210629225502368] 清理病毒 删除/tmp/.dHyUxCd/目录 kill -9 挖矿进程pid reboot重启 总结 本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是...原文链接:https://rumenz.com/rumenbiji/linux-kthreaddi.html
BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。...> busybox top 图片 终于看到了这个kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd太像了。.../ > ls -al 图片 config.json 里面都是一些配置,里面找到一个美国的IP 图片 清理病毒 删除/tmp/.dHyUxCd/目录 kill -9 挖矿进程pid reboot重启 总结...本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。...原文链接:https://rumenz.com/rumenbiji/linux-kthreaddi.html
发现了大量类似XMR(门罗币缩写),矿池相关的字符串,无疑就是挖矿软件了。 但是删除重启后,还是会被二次创建。...因为一般挖矿软件都是开源程序,病毒只是给与他特定的参数为病毒作者挖矿。 这时我首先想到去查看有无定时任务。 通过crontab -l查看所有的定时任务。 ?...在 Linux 操作系统的动态链接库加载过程中,动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库...——段落引自《警惕利用 Linux 预加载型恶意动态链接库的后门》 查看该文件。 ? 我们尝试删除 ld.so.preload。提示权限不足。 ?...并且发现了三个好玩的字符串。 ? khugrepaged是我们知道的挖矿程序,那么剩下两个呢。
大家好,又见面了,我是你们的朋友全栈君。 分享一次Linux系统杀毒的经历,还有个人的一些总结,希望对大家有用。 进程占CPU 700%,进程名字是类似XY2Arv的6位随机大小写字母+数字的字符串。...最终发现是一个叫systemd或trump的病毒,是一个挖矿的病毒,在挖一种叫门罗币(XMR)的数字货币。...攻击者在未授权访问Redis的情况下利用Redis的相关方法,可以成功将自己的公钥写入目标服务器的 ~/.ssh 文件夹的authotrized_keys 文件中,进而可以直接登录目标服务器;如果Redis...服务是以root权限启动,可以利用该问题直接获得服务器root权限 整个入侵流程大概是包含以下几个环节: 1、扫描开放6379端口的Linux服务器(后续感染扫描网段为1.0.0.0/16到224.255.0.0...crontab任务 3、通过脚本实现以上的相关行为,完成植入并启动挖矿程序 4、再编译安装pnscan,继续扫描感染下一个目标 逐渐排查并解决: 5.
作为一名Linux爱好者,在Linux的世界中也算是半个老司机了,从桌面玩到服务器、从ubuntu到centos、从计算机到路由器,各种Linux的花俏玩法都略有体验。...作者并非职业Linux选手,我仅仅是将Linux作为兴趣和特长,给我的学习和生活增添了不少的色彩。...略过安装系统的过程,配置好系统的基础环境之后,我们就可以出发了!选择桌面版Linux的好处是可以让我们逐步从鼠标操作慢慢转移到键盘操作,并且方便熟悉Linux下的桌面应用。...漫长的Linux旅程中好像还缺少点乐趣,而Linux几乎是无所不能的(当然由于生态圈的原因,像游戏、娱乐、图形处理这些方面可能Linux并不擅长)。...在团队协作开发和自动化部署中有其独特的优势。
伴随区块链的火热,越来越多的人加入到挖矿的浪潮中,对于普通小白该如何参与到数字货币的挖矿事业中?不同数字货币采用的挖矿算法和挖矿软件都是怎样的?个人如何选择矿机以及其他的挖矿形式?...以下是柏链道捷CTO、清华大学区块链中心高级工程师康烁给我们带来《基于Linux 的挖矿操作系统》,希望对你有所启发。 ?...整理 | Guoxi 大家好,我是来自柏链道捷的康烁,我今天给大家分享的主题是基于linux的挖矿操作系统,着重给大家讲一些挖矿背后核心的理念,也就是它的共识算法。 什么是挖矿? ?...通过简化挖矿算法,使其很容易去分割,GPU有几千个核,所以它挖起矿来比CPU更加有优势,再后来发展到FPGA挖矿,FPGA相比于GPU有什么样的优势呢?...最后一页介绍我们自己以前做的小项目,挖矿操作系统CoinOS,这是一个基于linux的U盘操作系统。这个挖矿系统可以自动地更新挖矿软件。
中午登陆linux宝塔发现服务器CPU满了,造成了资源100%繁忙,后来在命令行top一看/tmp目录有个非法二进制文件占用了300%CPU,这种来历不明的二进制吃CPU的程序一般是挖矿恶意进程 ?...断定了确实是挖矿病毒。后来我查看 /var/log/secure发现文件丢失,last命令也不存在,使我察觉到,服务器应该被人非法登陆,注入了这种挖矿病毒。...我赶紧修改了服务器密码,果然不出所料,把密码设置的复杂后,再次杀掉进程,删掉二进制文件,病毒不会重启了,让我断定,之前我杀过的进程,删掉的软件,非法人员又在某刻重新登陆,重新注入病毒。...病毒问题临时解决了,但是我的ssh服务依旧不能使用,后来我向领导申请重装系统,因为华为云机器,比较简单操作,我做完相关的备份操作后,开始了系统还原,但令我失望的是,还原后的新系统,ssh依旧不能使用,最后无可奈何...后来它们把服务器给我解封了,ssh可以使用了,所以我分析我的服务器应该是,被人用来恶意挖矿,华为云后台监测到我的机器做了非法操作,便将我的机器给封了(拉黑了)。
今天来给大家分享下这两天遇到的一个问题,服务器被挖矿了,把我的排查记录分享下,希望能帮到有需要的同学。...问题原因 ---- 多台服务器持续告警CPU过高,服务器为K8s的应用节点,正常情况下CPU使用率都挺低的,通过排查是原因是被挖矿了,下面为定位过程 定位过程 ---- 登陆问题主机10.92.0.X,...阻断挖矿程序链接外网服务(很重要) 在/etc/hosts里增加一条 127.0.0.1 g.upxmr.com 阻断挖矿程序链接外网下载可执行文件,不加了的话干掉服务又会起来(除非把服务器网断了) 2...干掉可疑程序“ata”进程 [root@dtdream-common-prod-nginx-03 ~]# kill -9 70497 再次查看发现cpu使用率降下来了,挖矿程序也没启动了。 ? ?...,挖矿程序是从哪个入口侵入的还有待排查 这次分享希望对也中挖矿程序的同学, 提供一些排查思路
通过分析,定性为是一起针对“门罗币”的挖矿木马入侵事件。本文记录处理该事件的关键过程以及对该挖矿木马核心代码进行的分析,方便做事件响应的同行们碰到同家族类型木马后可以快速查杀,定性威胁事件。...简单的进程保护行为 为了防被杀后还能继续挖矿,其通过写入定时任务的方式来实现简单的进程保护,通过一定时间间隔使用curl与wget远程下载shell脚本程序执行,该脚本的功能会执行本地路径下已存在的挖矿程序...spool/cron/root /var/spool/cron/crontabs/root /etc/cron.d/root done 0x02 **木马核心代码分析** 木马整体编写逻辑 该木马使用Linux...Bashe代码分析 该ELF可执行文件静态编译造成程序达到20m,通过对其代码分析发现跟很多挖矿木马一样使用到了开源的挖矿代码,该程序使用的开源挖矿项目在:https://github.com/fireice-uk...“抓鸡”植入木马,而且直接使用shell脚本编写的下载器加上开源的挖矿代码就开始“抓肉鸡”挖矿,由此可见现在对于挖矿木马的门槛在降低,但是这样简单的操作就足以严重危害网络的可用性与安全性。
这种感知能力可确保LiveData 仅更新处于活跃生命周期状态的应用组件观察者。 应用组件观察者可以很安全的观察数据变化(绑定声明周期,自动绑定和移除),不用担心内存泄漏等问题。...该组件的优势: 确保界面符合数据状态 LiveData 遵循观察者模式。...不会因 Activity 停止而导致崩溃 如果观察者的生命周期处于非活跃状态(如返回栈中的 Activity),则它不会接收任何 LiveData 事件(也是通过LifecycleOwner实现的)...,而观察者此时重走OnCreate为0,所以可以收到上一次的数据变化通知 适当的配置更改 如果由于配置更改(如设备旋转)而重新创建了 Activity 或 Fragment,它会立即接收最新的可用数据...(ViewModel通过在OnDestory的时候保存到Configure属性中,当attach的时候取出这个属性里面的Viewodel赋值给组件,当Activity/Fragment重新get获取的时候拿到的就是上次的
F5 Networks 的安全研究人员 发现 了一个新的 Linux 加密僵尸网络,并将其命名为”PyCryptoMiner”,它主要的攻击目标是具有公开 SSH 端口的 Linux 系统。...截至 2017 年 12 月下旬,PyCryptoMiner 已经开采了大约价值 4.6 万美元的门罗币 利用 CVE-2017-12149 漏洞,在 12 月中旬推出了针对易受攻击的 JBoss 服务器的新扫描功能...此外,它也是由一个合法的二进制文件执行的。...PyCryptoMiner 通过尝试猜测目标 Linux 设备的 SSH 登录凭证进行传播,如果成功,它将部署一个简单的 base64 编码的 Python 脚本,用于连接 C&C 服务器以下载和执行额外的...这个 Python 脚本还会收集有关受感染设备的信息,包括主机/DNS 名称,操作系统名称和架构、CPU 数量以及 CPU 使用率,它还会检查设备是否已经受到感染,以及受感染的设备是否用于门罗币挖掘或扫描
这是一款Linux和Windows通吃的病毒,起名为DDG挖矿病毒,目的是利用被侵入的计算机的资源协助自己挖矿,获取虚拟货币。该病毒从去年一直活跃在现在,已经挖取了价值一千多万人民币的虚拟币货币。...这里面大部分操作都在生信宝典的Linux系列教程有提及,也是我们常用的提高效率的方式。 怎么发现服务器中病毒了呢?...SELinux是安全增强型 Linux(Security-Enhanced Linux),它是一个Linux内核模块,也是Linux的一个安全子系统。主要由美国国家安全局开发。...不只是相声领域,挖矿领域同行也是冤家,先把其它挖矿程序杀掉,不要抢自己的资源。...挖矿程序的反编译见:http://m.simpreme.com/eevpuh.html。 病毒都这么努力的做好自己的工作的时候,我们有什么理由不好好学好Linux,尤其是做生物信息的朋友,这是基本功。
领取专属 10元无门槛券
手把手带您无忧上云